Chvála drobných potíží

Moderní názor, podle nějž člověk nemá žádné povinnosti, zato si může nárokovat prakticky neomezená práva, dorazil do bezpečnosti. A jeho dopady jsou stejně pustošivé jako kdekoliv jinde. Jeho typickým projevem jsou stížnosti a ukřivděné pocity lidí, kteří mají pocit, že mohou nechávat otevřená okna v přízemí nebo že se mladé ženy mohou procházet v sexy oděvech neosvětlenými parky a že „mají právo“, aby bylo postaráno o jejich bezpečnosti i v takových případech.

Z pohledu trestního práva mají nejspíš pravdu. Prakticky to ale znamená, že policie musí vynaložit obrovské zdroje, aby zajistila bezpečnost i v situacích, kterým se dalo snadno vyhnout. Čím hloupěji se takoví „uživatelé“ chovají, tím větší policejní zdroje jejich ochrana vyžaduje. Nároky mohou růst až donekonečna, neexistují žádné limity. V informační bezpečnosti tomu není jinak. Čím pošetileji se uživatelé chovají, tím více zdrojů je zapotřebí vynaložit na zabezpečení běžných situací, které by uživatelé fakticky mohli vyřešit sami.

Čím hloupěji se takoví „uživatelé“ chovají, tím větší policejní zdroje jejich ochrana vyžaduje. Nároky mohou růst až donekonečna, neexistují žádné limity.

Opět se tak dostáváme k uživatelům, kteří mají pocit, že mají „právo na bezpečnost“. Sítě mají být tak bezpečné, že ať dělám cokoliv, moje zařízení nebude zavirováno. Fyzické prostředí má být tak bezpečné, že když nechám na stole důvěrný spis, nikdo do něj nebude nahlížet.  Jenže málokterý takový uživatel by byl ochoten platit náklady, které s vytvořením absolutně bezpečného prostředí souvisí.

Jak přimět uživatele, aby se chovali dost opatrně a postarali se o svou počítačovou bezpečnost všude, kde to mohou zvládnout sami? To je otázka, které se v poslední době v DSM věnujeme. Minule jste se mohli dočíst o školeních a osvětových kampaních, ale jak připomíná v tomto čísle představitelka CSIRT Andrea Kropáčová, s růstem počítačové gramotnosti neroste ochota chovat se obezřetně. Naopak se spíše zdá, že ochota k obezřetnosti klesá.

Existuje představa, že by paradoxně pomohl velký útok s dramatickými následky. Psalo by se o něm na prvních stránkách novin, lidé by se vyděsili a začali se chovat jinak. Jenže ve skutečnosti lidé takto reagují jen málokdy. V případě velkého útoku s vážnými škodami by nejspíš byli ochotni podpořit drakonická opatření, přísné tresty či radikálně zvýšené rozpočty, ale jejich chování by se za pár týdnů vrátilo do normálu.

V případě velkého útoku s vážnými škodami by nejspíš byli ochotni podpořit drakonická opatření, přísné tresty či radikálně zvýšené rozpočty, ale jejich chování by se za pár týdnů vrátilo do normálu.

K trvalé změně chování vedou spíše drobné věci, ke kterým dochází trvale. Pokud dojde k brutální vraždě nebo teroristickému útoku, stačí pár týdnů a vše je jako dřív. Je to neustálý proud drobných krádeží, obtěžování či poškozování věcí, co vede ke změně návyků. Pokud by se uživateli dvakrát ročně stalo, že je mu omylem vymazána dvoudenní práce, což musí nahradit o víkendu, nebo že platí pětitisícovou pokutu za únik dat (nebo pokud by se takové příhody aspoň děly jeho kamarádům), nepotřebovali by motivační programy.

Což vede k dilematu. Pokud to budou uživatelé příliš dobře chráněni, zlozvyky nevymizí nikdy. Pokud budou chráněni špatně, budou zase nespokojeni s útvarem informační bezpečnosti. Myslím, že cennou inspirací může být řešení, o kterém se zmínil v minulém čísle finanční ředitel společnosti Pleas pan Nobst. Občas nechají nějakého uživatele, aby se v tom „vymáchal“ a podporují šeptandu o tom, jak nepříjemné to pro něj bylo.

Přeji Vám, aby čtení tohoto čísla DSM bylo inspirující – ve vztahu k práci s uživateli i dalším pracovním úkolům.

 

Vyšlo ve zkrácené podobě jako úvodník časopisu Data Security Management 1/2015